Despliegue de cargas de trabajo aisladas en varias ubicaciones y zonas
Esta guía de aprendizaje puede incurrir en costes. Utilice Estimador de costes para generar una estimación del coste basada en el uso previsto.
Esta guía de aprendizaje le guiará a través de los pasos para configurar cargas de trabajo altamente disponibles y aisladas mediante el suministro de IBM Cloud® Virtual Private Clouds (VPC). Creará instancias de servidor virtual (VSI) en varias zonas de una región para garantizar la alta disponibilidad de la aplicación. Creará VSI adicionales en una segunda región y configurará un equilibrador de carga global (GLB) para ofrecer alta disponibilidad entre regiones y reducir la latencia de la red para usuarios de diferentes geografías.
Suministrará un servicio IBM Cloud Internet Services (CIS) como el GLB del catálogo y un servicio IBM Cloud Secrets Manager del catálogo para gestionar el certificado de Seguridad de la capa de transporte (TLS) para todas las solicitudes HTTPS entrantes.
Objetivos
- Comprensión del aislamiento de cargas de trabajo mediante los objetos de infraestructura disponibles para nubes privadas virtuales.
- Utilización de un equilibrador de carga entre zonas dentro de una región para distribuir el tráfico entre servidores virtuales.
- Utilización de un equilibrador de carga global entre regiones para implementar la alta disponibilidad, aumentar la resistencia y reducir la latencia.
- El administrador (DevOps) suministra VSI en las subredes bajo dos zonas diferentes en una VPC en la región 1 y se repite lo mismo en una VPC creada en la región 2.
- El administrador crea un equilibrador de carga con una agrupación de servidores de fondo en diferentes zonas de la región 1 y un escucha frontal. Se repite lo mismo en la región 2.
- El administrador suministra una instancia de IBM Cloud Internet Services con un dominio personalizado asociado y crea un equilibrador de carga global que apunta a los equilibradores de carga creados en dos VPC diferentes.
- El administrador habilita el cifrado de HTTPS mediante la adición del certificado SSL de dominio al servicio Secrets Manager.
- El usuario realiza una solicitud HTTP/HTTPS y el equilibrador de carga global la maneja.
- La solicitud se direcciona a los equilibradores de carga tanto a nivel global como local. A continuación, la instancia de servidor disponible responde a la solicitud.
Antes de empezar
- Compruebe los permisos de usuario. Asegúrese de que la cuenta de usuario tiene permisos suficientes para crear y gestionar recursos de VPC. Consulte la lista de permisos necesarios para VPC.
- Necesita una clave SSH para conectarse a los servidores virtuales. Si no tiene una clave SSH, consulte las instrucciones para crear una clave para VPC.
Crear nubes privadas virtuales, subredes e instancias de servidor virtual
En esta sección, creará su propio VPC en la región 1 con subredes creadas en dos zonas diferentes de la región 1 y después suministrará las VSI.
Cree una nube privada virtual
- Vaya a la página Nubes privadas virtuales y haga clic en Crear.
- En la sección Ubicación, seleccione una Geografía y una Región, por ejemplo,
Europe
yLondon
. - Introduzca
vpc-region1
para el nombre de su VPC, seleccione un Grupo de recursos y, opcionalmente, añada Etiquetas para organizar sus recursos. - Deseleccione Permitir SSH y Permitir ping desde Grupo de seguridad predeterminado. El acceso SSH se añadirá más adelante a un grupo de seguridad de mantenimiento. El grupo de seguridad de mantenimiento se añade a una instancia para permitir el acceso SSH desde un servidor de bastión. El acceso de ping no es necesario para esta guía de aprendizaje.
- Deje Habilitar acceso a recursos clásicos sin seleccionar y Crear un prefijo predeterminado para cada zona sin seleccionar.
- En Subredes , cambie el nombre de la subred de la zona 1. Haga clic en el icono de lápiz:
- Especifique
vpc-region1-zone1-subnet
como nombre exclusivo de la subred. - Seleccione el mismo grupo de recursos que el grupo de recursos de VPC.
- Deje los valores predeterminados en los demás valores.
- Pulse Guardar
- Especifique
- En Subredes , cambie el nombre de la subred de la zona 2. Haga clic en el icono de lápiz:
- Especifique
vpc-region1-zone2-subnet
como nombre exclusivo de la subred. - Seleccione el mismo grupo de recursos que el grupo de recursos de VPC.
- Deje los valores predeterminados en los demás valores.
- Pulse Guardar
- Especifique
- En Subredes suprima la subred de la zona 3. Pulse el icono menos.
- Pulse Crear nube privada virtual para suministrar la instancia.
Creación de un grupo de seguridad para permitir el tráfico de entrada en la aplicación
Habilite las reglas de entrada para los puertos HTTP (80) y HTTPS (443) en la aplicación definiendo reglas en un grupo de seguridad. En los pasos posteriores, añadirá varias VSI al grupo de seguridad.
-
Vaya a la página Grupos de seguridad y pulse Crear.
-
Especifique
vpc-region1-sg
para el nombre, seleccione el mismo Grupo de recursos que el grupo de recursos de VPC. -
Seleccione la nube privada virtual de vpc-region1 creada anteriormente.
-
Añada las mismas Reglas de entrada que las que se encuentran en la tabla siguiente y, a continuación, pulse Crear grupo de seguridad.
Reglas de entrada Protocolo Tipo de origen Origen Valor TCP Cualquiera 0.0.0.0/0 Puertos 80-80 TCP Cualquiera 0.0.0.0/0 Puertos 443-443
Suministrar instancias de servidor virtual
- Vaya a la página Subredes.
- Verifique que el estado de todas las subredes sea Disponible.
- Haga clic en vpc-region1-zone1-subnet seguido de Attached resources, luego en Attached instances haga clic en Create.
- Especifique
vpc-region1-zone1-vsi
como nombre exclusivo del servidor virtual. - Verifique o establezca los campos Nube privada virtual, Grupo de recursos, Ubicación y Zona.
- Especifique
- En la sección Imagen y perfil, pulse Cambiar imagen.
- En el campo Buscar elementos, escriba
Ubuntu
y seleccione cualquier versión de la imagen y pulse Guardar. - En la sección Perfil, pulse Cambiar perfil.
- Elija Calcular con
2 vCPUs
y4 GB RAM
como perfil y pulse Guardar. - Establezca Claves SSH en la clave SSH que ha creado anteriormente.
- En Conexiones de red con interfaz de red virtual, pulse el icono de lápiz en la fila de la interfaz eth0.
- PulseSiguiente.
- Marque
vpc-region1-sg
y desmarque el grupo de seguridad Valor predeterminado de VPC. - Pulse Siguiente varias veces y, a continuación, en Guardar.
- Haga clic en Crear servidor virtual.
- Repita los pasos anteriores para suministrar un servidor virtual vpc-region1-zone2-vsi en la subred vpc-region1-zone2-subnet.
Crear recursos en otra ubicación
Repita los pasos anteriores del paso 1 para suministrar una nueva VPC con subredes e instancias de servidor virtual en otra región, por ejemplo, Frankfurt. Siga las mismas convenciones de nomenclatura anteriores, sustituyendo
region2
por region1
.
Instalar y configurar el servidor web en las instancias de servidor virtual
Siga los pasos mencionados en Acceder de forma segura a instancias remotas con un host de bastión para garantizar el mantenimiento seguro de
los servidores. Utilice un host de bastión que actúe como un servidor jump
y un grupo de seguridad de mantenimiento para las VSI suministradas anteriormente. Se necesita un host de bastión en cada VPC.
Una vez que se haya ejecutado SSH correctamente en el servidor suministrado en la subred de la zona 1 de la región 1,
- En el indicador, ejecute los mandatos siguientes para instalar Nginx como servidor web
sudo apt-get update sudo apt-get install nginx
- Compruebe el estado del servicio Nginx con el mandato siguiente:
La salida debería mostrar que el servicio Nginx está activo y en ejecución.sudo systemctl status nginx
- Si lo desea, verifique que Nginx funciona según lo esperado.
curl localhost
. Debería ver la página de bienvenida de Nginx. - Para actualizar la página html con los detalles de la región y de la zona, ejecute el mandato siguiente
Añada la región y la zona a la etiquetanano /var/www/html/index.nginx-debian.html
h1
entrecomilladoWelcome to nginx!
para que ahora leaWelcome to nginx! server running in **zone 1 of region 1**
y guarde los cambios. - Verifique los cambios ejecutando un mandato
curl localhost
. - Repita los pasos anteriores para instalar y configurar el servidor web en las VSI de las subredes de todas las zonas y no olvide actualizar el html para incluir la información de la región y la zona respectivas.
Distribución del tráfico entre zonas con equilibradores de carga
En esta sección, creará dos equilibradores de carga. Una en cada región para distribuir el tráfico entre varias instancias de servidor bajo las subredes respectivas dentro de diferentes zonas.
Crear un grupo de seguridad para permitir el tráfico de entrada y salida a través de los equilibradores de carga
Para permitir el tráfico a la aplicación, debe habilitar las reglas de entrada y salida para los puertos HTTP (80) y HTTPS (443). En pasos posteriores, al crear equilibradores de carga, los añadirá al grupo de seguridad que define dichas reglas.
-
Vaya a la página Grupos de seguridad y pulse Crear.
-
Seleccione la nube privada virtual de vpc-region1 creada anteriormente.
-
Especifique
vpc-lb-sg
para el nombre, seleccione el mismo Grupo de recursos que el grupo de recursos de VPC. -
Añada las mismas Reglas de entrada que se encuentran en la tabla siguiente.
Reglas de entrada Protocolo Tipo de origen Origen Valor TCP Cualquiera 0.0.0.0/0 Puertos 80-80 TCP Cualquiera 0.0.0.0/0 Puertos 443-443 -
Añada las mismas Reglas de salida que se encuentran en la tabla siguiente y, a continuación, pulse Crear grupo de seguridad.
Reglas de salida Protocolo Tipo de origen Origen Valor TCP Cualquiera 0.0.0.0/0 Puertos 80-80 TCP Cualquiera 0.0.0.0/0 Puertos 443-443 -
Repita los pasos anteriores en la región 2.
Configuración de equilibradores de carga
- Vaya a la página Equilibradores de carga y pulse Crear.
- Seleccione Equilibrador de carga de aplicación (ALB) como tipo de equilibrador de carga.
- En la sección Ubicación, seleccione la misma Geografía y Región que ha utilizado para la nube privada virtual vpc-region1 creada anteriormente.
- Especifique
vpc-lb-region1
para el nombre, seleccione el mismo Grupo de recursos que el grupo de recursos de VPC. - Seleccione la nube privada virtual de vpc-region1 creada anteriormente.
- Seleccione el Subredes de vpc-region1-zone1-subnet y vpc-region1-zone2-subnet.
- Pulse Crear agrupación para crear una nueva agrupación de programas de fondo de VSI que actúe como iguales equivalentes para compartir el tráfico direccionado a la agrupación. Establezca los parámetros con los valores que
se indican a continuación y haga clic en Crear cuando haya terminado.
- Nombre:
region1-pool
- Protocolo:
HTTP
- Retención de sesiones:
None
- Protocolo de proxy:
Disabled
- Método:
Round robin
- Vía de acceso de la comprobación de estado:
/
- Protocolo de estado:
HTTP
- Puerto de estado: déjelo en blanco
- Intervalo (seg.):
15
- Tiempo de espera (seg.):
5
- Máximo de reintentos:
2
- Pulse Crear.
- Nombre:
- Pulse Conectar servidor para añadir instancias de servidor a la agrupación.
- En el menú desplegable Subredes, seleccione vpc-region1-zone1-subnet y vpc-region1-zone2-subnet.
- Seleccione las instancias que ha creado y establezca
80
como puerto. - Pulse Adjuntar para finalizar la creación de una agrupación de programas de fondo.
- Pulse Crear escucha para crear un nuevo escucha frontal; un escucha es un proceso que comprueba las solicitudes de conexión.
- Agrupación de fondo:
region1-pool
- Protocolo:
HTTP
- Protocolo de proxy: no comprobado
- Puerto:
80
- Conexiones máximas: déjelo vacío y pulse Crear.
- Agrupación de fondo:
- En Grupos de seguridad, seleccione
vpc-lb-sg
y desmarque el grupo de seguridad predeterminado. - Haga clic en Crear equilibrador de carga para aprovisionar el equilibrador de carga.
- Repita los pasos anteriores en la región 2, esta vez denominando el equilibrador de carga
vpc-lb-region2
y la agrupación de fondoregion2-pool
.
Prueba de los equilibradores de carga
- Espere hasta que el estado del equilibrador de carga sea Activado.
- Abra el Nombre de host en un navegador web.
- Actualice la página varias veces y observe que el equilibrador de carga devuelve resultados de diferentes zonas o instancias de servidor virtual con cada actualización.
- Guarde la dirección para futuras referencias.
Es posible que haya observado que las solicitudes no están cifradas y solo se da soporte a HTTP. Configurará un certificado SSL y habilitará HTTPS en la sección siguiente.
Configuración del equilibrio de carga en varias ubicaciones
Tu aplicación se ejecuta ahora en dos regiones, pero le falta un componente para que los usuarios puedan acceder a ella de forma transparente desde un único punto de entrada.
En esta sección, configurará IBM Cloud Internet Services (CIS) para distribuir la carga entre las dos regiones. CIS proporciona el Equilibrador de carga global (GLB), la Memoria caché, Web Application Firewall (WAF) y la Regla de página para proteger las aplicaciones al tiempo que garantiza la fiabilidad y el rendimiento de las aplicaciones en la nube.
Para configurar un equilibrador de carga global, necesitará:
- hacer que un dominio personalizado apunte a servidores de nombres de CIS,
- recuperar las direcciones IP o los nombres de host de los equilibradores de carga VPC,
- configurar comprobaciones de estado para validar la disponibilidad de la aplicación,
- y definir agrupaciones de origen que apunten a los equilibradores de carga VPC.
Añadir un dominio personalizado a IBM Cloud Internet Services
El primer paso consiste en crear una instancia de CIS y hacer que el dominio personalizado apunte a los servidores de nombres de CIS.
-
Si no posee un dominio, puede comprar uno a un registrador.
-
Vaya a IBM Cloud Internet Services en el catálogo de IBM Cloud.
-
Elija un plan, establezca el nombre de servicio y el grupo de recursos y pulse Crear para crear una instancia del servicio.
-
Cuando se suministre la instancia de servicio, pulse Añadir dominio.
-
Especifique el nombre de dominio y pulse Siguiente.
-
La configuración de los registros de DNS es un paso opcional y se puede omitir para esta guía de aprendizaje, haga clic en Siguiente.
-
Cuando se hayan asignado los servidores de nombres, configure el registrador o el proveedor de nombres de dominio para utilizar los servidores de nombres que se muestran.
-
En este punto puede hacer clic en Cancelar para volver a la página principal, después de haber configurado su registrador o el proveedor de DNS, se pueden necesitar hasta 24 horas para que los cambios entren en vigor.
Cuando el estado del dominio en la página Visión general cambia de Pendiente a Activo, puede utilizar el mandato
dig <your_domain_name> ns
para verificar que los nuevos servidores de nombres han entrado en vigor.
Configuración de comprobaciones de estado para el equilibrador de carga global
Una comprobación de estado ayuda a obtener información sobre la disponibilidad de las agrupaciones para que el tráfico se pueda direccionar a las que están en buen estado. Estas comprobaciones envían solicitudes HTTP/HTTPS periódicamente y supervisan las respuestas.
-
En el panel de control de IBM Cloud Internet Services, vaya a Fiabilidad > Equilibradores de carga globales.
-
Seleccione Comprobaciones de seguridad y pulse Crear.
-
Pon Nombre a
nginx
. -
Seleccione HTTP para Tipo de supervisor.
-
Pon Puerto en
80
. -
Establecer ruta a
/
. -
Pulse Crear.
Cuando construyas tus propias aplicaciones, podrías definir un punto final de salud dedicado como /health donde informarías del estado de la aplicación.
Definición de agrupaciones de origen
Un pool es un grupo de VSI de origen o balanceadores de carga a los que el tráfico se enruta de forma inteligente cuando se conecta a un balanceador de carga global. Con los equilibradores de carga VPC en dos regiones, puede definir agrupaciones basadas en la ubicación y configurar CIS para redirigir los usuarios al equilibrador de carga VPC más reciente en función de la ubicación geográfica de las solicitudes de los clientes.
Agrupación de origen para el equilibrador de carga VPC
- Seleccione Agrupaciones de origen y pulse Crear.
- Especifique un nombre para la agrupación:
region-1-pool
. - Establezca el Nombre de origen en
region-1
. - Establezca la Dirección de origen en el nombre de host del equilibrador de carga VPC de region1 y consulte la página Visión general del equilibrador de carga VPC.
- Seleccione una Comprobación de estado existente y seleccione la comprobación de estado creada anteriormente.
- Seleccione una Región de comprobación de estado cercana a la región de la ubicación 1.
- Pulse Guardar.
- Repita los pasos anteriores para la región 2.
Creación del equilibrador de carga global
Con las agrupaciones de origen definidas, puede completar la configuración del equilibrador de carga.
-
Seleccione Equilibradores de carga y pulse Crear.
-
Mantenga los valores predeterminados de Habilitar:
On
y Proxy:Off
. -
Introduzca el nombre para el balanceador de carga global,
lb
, este nombre será los caracteres iniciales en el subdominio para acceder a la aplicación.http://lb``<your_domain_name>
). -
Pulse Añadir ruta.
-
Seleccione Región:
Default
. -
Seleccione los grupos de origen que acaba de crear, es decir, region-1-pool y region-2-pool.
-
Pulse Añadir.
-
Expanda la sección de Rutas geográficas, puede distribuir el tráfico basándose en la región de origen.
Puede añadir más rutas si lo desea en función de la ubicación geográfica y el tráfico directo a la agrupación más cercana. Haga clic en Añadir ruta, seleccione una región de balanceador de carga global, por ejemplo, Europa Occidental y seleccione el pool deseado, por ejemplo, region-2-pool y haga clic en Añadir. Si una solicitud no coincide con ninguna de las rutas definidas, se redirigirá a los grupos de origen predeterminados; los usuarios de la región del equilibrador de carga global que haya definido se dirigirán a los equilibradores de carga/VSI más cercanos.
-
Pulse Crear.
Protección con HTTPS
El cifrado HTTPS requiere que los certificados firmados sean accesibles tanto desde el equilibrador de carga global CIS como desde los equilibradores de carga de la VPC. El IBM Cloud Secrets Manager se utilizará para solicitar o importar y, a continuación, gestionar el certificado para su dominio. La autorización de servicio IAM (Identity and Access Management) se configura para permitir el acceso de lectura al certificado desde el servicio deseado.
Crear y autorizar una instancia de Secrets Manager
-
Si tiene una instancia de Secrets Manager existente, puede utilizarla en esta guía de aprendizaje o crear una nueva si es necesario siguiendo los pasos que se describen en Creación de una instancia de servicio de Secrets Manager.
-
Cree una autorización que proporcione al servicio de equilibrador de carga VPC acceso a la instancia de Secrets Manager que contiene el certificado SSL.
- Vaya a Autorizaciones de identidad y acceso.
- Pulse Crear y seleccione Servicios de infraestructura de VPC como servicio de origen.
- Seleccione Recursos específicos, Tipo de recurso y, a continuación, Equilibrador de carga para VPC.
- Secrets Manager como servicio de destino.
- Asigne el rol de acceso al servicio de Escritor.
- La instancia de servicio de destino puede ser Todos los recursos, o puede ser su instancia específica Secrets Manager si lo desea. Leaver los Todos los recursos seleccionados por ahora.
- Pulse Autorizar.
-
Continuing in the Gestionar autorizaciones page, create an authorization that gives the Secrets Manager access to CIS:
- Pulse Crear y elija Secrets Manager como servicio de origen.
- Elija Todos los recursos o sólo el Secrets Manager creado anteriormente.
- Internet Services como servicio de destino.
- Elija Todos los recursos o sólo el CIS creado anteriormente.
- Asigne el rol de acceso al servicio de Gestor.
- Pulse Autorizar.
Si la instancia de CIS da soporte a varios dominios, también puede asignar el rol Lector a la instancia de CIS y el rol Gestor al dominio específico que está utilizando para la solución. Consulte el tema Otorgar acceso de servicio a dominios específicos.
IBM CIS da soporte a los proxies para los equilibradores de carga global. Cuando un equilibrador de carga utiliza proxy, significa que su tráfico se ejecuta directamente a través de CIS. Los equilibradores de carga dan soporte a las modalidades de proxy HTTP y solo DNS. Considere cuál de las dos alternativas siguientes se ajusta más a su caso de uso antes de continuar, ya que el comportamiento de direccionamiento de tráfico difiere del siguiente modo:
- Alternativa 1: el tráfico de proxy fluye a través de CIS.
- Alternativa 2: El tráfico que no es de proxy (modalidad solo DNS) fluye directamente del cliente al origen. En el modo sólo DNS, no se aplica ninguna de las funciones de seguridad, rendimiento y fiabilidad CIS.
Para obtener más información, lea el tema Proxies de registros de DNS y equilibradores de carga global.
Alternativa 1: Proxy, el tráfico fluye a través de CIS
Esta primera alternativa crea un certificado comodín para el dominio personalizado y, a continuación, lo proxy en el IBM Cloud Internet ServicesCIS) permitiéndole aprovechar las capacidades de seguridad, protección y rendimiento líderes del
sector. Sustituya example.com
por el nombre de dominio personalizado en los pasos siguientes.
Actualmente, la solicitud de certificados utiliza Let's Encrypt; puede seguir el tema Autoridades de certificación soportadas para obtener actualizaciones. La utilización de Let's Encrypt requiere una cuenta ACME. Siga los pasos que se describen en el tema Conexión de entidades emisoras de certificados de terceros para crear o registrar su cuenta. Además, debe añadir un proveedor de DNS siguiendo los pasos del tema Conexión de proveedores de DNS. Para esta guía de aprendizaje, debe añadir CIS como proveedor de DNS.
Inicialmente, HTTPS solo se configura del usuario a Secrets Manager.
- Solicitar un certificado en Secrets Manager
- Abra el servicio Secrets Manager y seleccione Secretos a la izquierda.
- Pulse Añadir.
- Si está utilizando una nueva instancia de Secrets Manager, deberá configurarla antes de solicitar el certificado. Siga los pasos descritos en Preparación para solicitar certificados públicos.
- Pulse Certificado público y, a continuación, pulse Siguiente.
- Complete el formulario:
- Nombre: escriba un nombre que pueda recordar.
- Descripción: escriba la descripción que desee.
- PulseSiguiente.
- En Entidad emisora de certificados, seleccione el motor de entidad emisora de certificados Let's Encrypt configurado.
- En Algoritmo de clave, elija el algoritmo que desee,
- Certificados de paquete: déjelo desactivado
- Rotación automática de certificados: déjelo desactivado
- En Proveedor de DNS, seleccione la instancia de proveedor de DNS configurada
- Pulse Seleccionar dominios, elija Seleccionar con comodín, deje el dominio sin seleccionar y pulse Hecho.
- Pulse Siguiente.
- Revise las selecciones y pulse Añadir.
- No es necesario que espere a que se complete la activación para ejecutar el paso siguiente, pero sí es necesario que espere a que se complete antes de verificar el éxito.
- Configure https entre los navegadores web y el punto final de CIS. En CIS, configure la seguridad de TLS:
- Abra el panel Seguridad y seleccione TLS.
- Para Modalidad, seleccione Client-to-edge. Esto finalizará las conexiones HTTPS en el equilibrador de carga global y cambiará a las conexiones HTTP en el equilibrador de carga VPC.
- En CIS, configure el equilibrador de carga global para que utilice TLS:
- Abra el panel Fiabilidad y elija Equilibradores de carga globales.
- Localice el equilibrador de carga global creado anteriormente y active el proxy.
- En un navegador abra https://lb.example.com para verificar el éxito.
A continuación, configure HTTPS entre CIS y el equilibrador de carga VPC.
Añada una escucha HTTPS con los equilibradores de carga VPC:
-
Vaya a VPC y pulse Equilibradores de carga y vpc-lb-region1.
-
Elija Escuchas frontales.
-
Pulse Crear escucha.
-
Seleccione Agrupación de fondo predeterminada:
region1-pool
oregion2-pool
. -
Seleccione HTTPS e introduzca para Puerto un valor de
443
. -
Seleccione la instancia de Secrets Manager que ha creado anteriormente; el menú desplegable Certificado SSL debe mostrar el nombre de certificado que ha solicitado utilizando la instancia de Secrets Manager anterior de Let's Encrypt. Pulse Crear.
Si el certificado SSL desplegable no tiene example.com, es posible que haya omitido el paso de autorización anterior que da acceso al equilibrador de carga VPC al servicio Secrets Manager. Compruebe que el servicio Secrets Manager tiene un certificado para example.com.
-
Repita los pasos anteriores para el equilibrador de carga de vpc-lb-region2.
El certificado comodín creado permitirá el acceso a nombres de dominio como vpc-lb-region1 .example.com. Abra la pestaña Visión general del equilibrador de cargas de la VPC vpc-lb-region1 y observe que el Nombre de host es xxxxxxx-REGION.lb.appdomain.cloud. El certificado comodín no va a funcionar. Solucione el problema creando un alias y luego actualizando la configuración.
-
Se puede crear un registro DNS CNAME para permitir a los clientes buscar vpc-lb-region1 .example.com y resolver xxxxxxx-REGION.lb.appdomain.cloud.
- En CIS, abra el panel Fiabilidad y elija DNS.
- Desplácese hasta Registros de DNS y cree un registro de Tipo: CNAME, Nombre: vpc-lb-region1, TTL: Automático y Nombre de dominio de alias: Nombre de host del equilibrador de carga VPC.
- Añada un registro CNAME de DNS para vpc-lb-region2.
-
Ahora ajuste el equilibrador de carga global para utilizar los nuevos registros de CNAME.
- Abra el panel Fiabilidad y elija Equilibradores de carga globales.
- Busque y edite los Pools de Orígenes para cambiar la Dirección de Origen de Orígenes a vpc-lb-region1.example.com.
- Repita los pasos anteriores para vpc-lb-region2.example.com.
-
Active la seguridad de extremo a extremo.
- Abra el panel Seguridad y seleccione TLS.
- Para Modalidad, seleccione End-to-end CA signed. Esto utilizará conexiones HTTPS en el equilibrador de carga global y conexiones HTTPS al equilibrador de carga de la VPC.
En un navegador abra https://lb.example.com para verificar el éxito
Alternativa 2: modalidad de sólo DNS, el tráfico fluye directamente desde el cliente a los equilibradores de carga de VPC
En esta alternativa, solicitará un certificado SSL para lb.example.com
de Let's Encrypt a través de Secrets Manager y configurará el equilibrador de carga
global.
Actualmente no es posible solicitar un certificado directamente para un equilibrador de carga global de CIS, pero es posible solicitar uno para un registro CNAME. Por lo tanto, crearemos un CNAME para solicitar el certificado.
-
Abra el servicio CIS que ha creado antes; lo encontrará en la Lista de recursos
-
Vaya a Equilibradores de carga globales en Fiabilidad y pulse DNS.
-
Desplácese hasta la sección Registros de DNS y cree un nuevo registro:
- Tipo:
CNAME
- Nombre:
lb
- TTL:
default (Automatic)
- Nombre de dominio de alias:
zzz.example.com
- Pulse Añadir registro
- Tipo:
-
Solicitar un certificado en Secrets Manager
- Abra el servicio Secrets Manager y seleccione Secretos a la izquierda.
- Pulse Añadir y, a continuación, Certificado público. PulseSiguiente.
- Complete el formulario:
- Nombre -
lb-alias
. - Descripción: escriba la descripción que desee.
- PulseSiguiente.
- En Entidad emisora de certificados, seleccione el motor de entidad emisora de certificados Let's Encrypt configurado.
- En Algoritmo de clave, seleccione
RSA4096
- Certificados de paquete: déjelo desactivado
- Rotación automática de certificados: déjelo desactivado
- En Proveedor de DNS, seleccione la instancia de proveedor de DNS configurada
- Pulse Seleccionar dominios
- Expanda el dominio listado para ver la lista de subdominios y seleccione la casilla junto a lb.example.com y haga clic en Hecho.
- Nombre -
- Pulse Siguiente.
- Revise las selecciones y pulse Añadir.
Creación de un escucha HTTPS:
-
Vaya a la página Equilibradores de carga VPC.
-
Seleccione vpc-lb-region1
-
En Escuchas frontales, pulse Crear
- Protocolo: HTTPS
- Puerto: 443
- Agrupación de fondo: POOL en la misma región
- Elija la región actual como región SSL
- Elija el nombre de pedido del certificado SSL que acaba de crear para lb.example.com
-
Pulse Guardar para configurar un escucha HTTPS
Repita los pasos anteriores en el equilibrador de carga de la región 2.
En un navegador abra lb.example.com para verificar el éxito
Prueba de migración tras error
Debería haber visto que la mayoría de las veces está accediendo a los servidores en la región 1, ya que se le ha asignado un mayor peso en comparación con los servidores de la región 2. Introduzcamos una anomalía de comprobación de estado en la agrupación de origen de la región 1,
-
Vaya a la lista de instancias de servidor virtual.
-
Pulse tres puntos(...) junto al servidor o servidores que se ejecutan en la zona 1 de la región 1 y pulse Detener.
-
Repita este proceso para los servidores que se ejecutan en la zona 2 de la región 1.
-
Vuelva al GLB bajo el servicio CIS y espere hasta que el estado sea Crítico.
-
Ahora, cuando renueve el URL del dominio, siempre debería acceder a los servidores de la región 2.
No olvide iniciar los servidores de la zona 1 y de la zona 2 de la región 1.
Eliminación de recursos
- Elimine el equilibrador de carga global, las agrupaciones de origen y las comprobaciones de estado bajo el servicio CIS
- Elimine los certificados en el servicio Secrets Manager.
- Elimine los equilibradores de carga, las VSI, las subredes y las VPC.
- En la Lista de recursos, suprima los servicios utilizados en esta guía de aprendizaje.